當用戶端對邊緣安全加速 ESA節點發起HTTPS請求時,節點會響應請求並觸發TLS握手流程,用戶端與節點將共同商定一套相容的加密套件和協議版本,以確保雙向資料轉送的安全性。您可根據業務需要調整TLS加密套件和協議版本。
TLS協議版本
TLS(傳輸層安全性通訊協定,Transport Layer Security)及其前身SSL(安全通訊端層,Secure Sockets Layer)是一種旨在提供電腦網路上的安全通訊的加密協議,該協議允許端和端之間的資料互動進行加密傳輸,保障通訊的可靠性和保密性。
TLS協議版本包括1.0、1.1、1.2、1.3,其中TLS1.3協議是安全性和效能最高的協議。
TLS加密套件組
TLS加密套件(Cipher Suite)是用於TLS協議中的一系列密碼編譯演算法組合,由認證、加密、訊息認證碼三部分組成。在執行TLS握手時,用戶端與伺服器將共同商定一套相容的加密方案,即加密套件,確保用戶端與伺服器之間的資料轉送以選定的加密套件進行安全加密,不同的加密套件具有不同的安全性。
TLS加密套件組(Cipher Suite Group)是指一系列加密套件的組合。
如何選擇TLS加密套件組和TLS協議
業務情境 | 加密套件組 | 支援的TLS協議 | 特點 |
對相容性要求較高,安全性要求可適當放寬的大部分網站或應用 | 全部密碼編譯演算法套件(預設) | TLS1.0、TLS1.1、TLS1.2、TLS1.3(可選) | 支援數量最多的加密套件和協議,具有良好的相容性,能相容舊版瀏覽器和各類型的端裝置,但部分加密套件安全性較差。 |
對安全性要求較高的網站或應用 | 強密碼編譯演算法套件 | TLS1.2、TLS1.3 | 支援的加密套件和協議均為安全類型,配置強密碼編譯演算法套件可以提高網站的安全等級,但相容性相比全部密碼編譯演算法套件(預設)較差。 |
指定密碼編譯演算法套件 | 自訂密碼編譯演算法套件 | TLS1.2、TLS1.3 | 支援自訂選擇密碼編譯演算法,根據您選擇的不同密碼編譯演算法,安全性和相容性也會存在差異。 |
不同加密套件組支援的演算法請見:加密套件組支援的演算法。
配置TLS加密套件與協議版本
在ESA控制台,選擇網站管理,在網站列單擊目標網站。
在左側導覽列,選擇。
在TLS加密套件與協議版本配置地區,單擊配置,根據實際業務情境選擇加密套件組和TLS協議。
說明強密碼編譯演算法套件和自訂密碼編譯演算法套件預設僅支援TLS1.2和TLS1.3協議,且不可修改。
TLS協議版本配置必須連續啟用,若存在版本斷層,低版本將無法生效,僅連續的高版本協議可用。
例如一:配置TLSv1.0、TLSv1.1、TLSv1.3開啟,TLSv1.2關閉時,實際僅TLSv1.3開啟。
例如二:配置TLSv1.0、TLSv1.2、TLSv1.3開啟,TLSv1.1關閉時,實際僅TLSv1.2、TLSv1.3開啟。
單擊確定。